La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia

Publicada porLucinde Carabajal Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia"— Transcripción de la presentación:

1 Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia
Fabian Molina Juan Felipe Montoya

2 Agenda Introducción Cross Site Scripting Unicode Hack Ataques CGI
Conclusiones Referencias

3 Introducción Qué son? Puertos Web: Tipos de Ataques
Ataques a Aplicaciones, Clientes y Servidores Web Puertos Web: 80, 81, 443, 8000, 8001, 8010, 8080 Tipos de Ataques Usan “Código Malévolo”: vulneran usuarios domésticos “Canonización”: atacan errores en el proceso de conversión (URL, direcciones IP, etc.)

4 Agenda Introducción Cross Site Scripting Unicode Hack Ataques CGI
Conclusiones Referencias

5 Cross Site Scripting Se aprovecha de la inserción de caracteres especiales en la comunicación cliente – servidor, de forma que introduce Scripts maliciosos El Script se ejecuta en el contexto de seguridad del cliente, no del atacante Ocurren en páginas dinámicamente generadas, cuando se confía en la validez de la fuente (cliente) Utiliza programas applet de Java, ActiveX, JavaScript y VbScript que permiten crear páginas Web interactivas

6 Cross Site Scripting Comprometimiento de cookie de sesión

7 Cross Site Scripting Cómo se realiza?
Selección del sitio Web por el atacante; usualmente un sitio de e-commerce. Análisis del sitio Web; desarrollo del Script malicioso y su método de inserción. Desarrollo de componentes receptores. Paso necesario si se esta interesado en recibir información (por ejemplo números de tarjetas de crédito). Atracción de la victima para que interactúe con el atacante, haciendo uso de contenido interesante. Redirección de la solicitud del Browser e inserción del Script malicioso. Puerta Abierta para el atacante.

8 Cross Site Scripting Impacto
Exposición de Conexiones SSL-encriptadas Ataques persistentes con Cookies envenenadas Acceso a sitios Web restringidos Violación de políticas de seguridad basadas en dominio Riesgos adicionales, por uso de caracteres poco comunes Alteración del comportamiento de un Formulario

9 Cross Site Scripting Contramedidas
USUARIO SERVIDOR Deshabilitar los lenguajes de Script en el Browser: mayor protección, pero deshabilita funcionalidades Selección explícita de la codificación de caracteres Identificación de caracteres especiales Ser selectivos al visitar sitios Web Codificación dinámica de los elementos de salida Filtrado de caracteres Examen de Cookies

10 Agenda Introducción Cross Site Scriting Unicode Hack Ataques CGI
Conclusiones Referencias

11 Unicode Hack Nace en a finales del año 2000 a partir del descubrimiento de un bug en IIS 4.0 publicado en un foro del sitio Aprovecha debilidades durante el proceso de interpretación y ejecución de URL’s que efectúa un servidor Web por cada petición Es llamado “UNICODE” debido a que es ésta la codificación de caracteres empleada para efectuar accesos ilegales sobre el servidor Web

12 Unicode Hack Funcionamiento
El servidor Web efectúa una verificación de seguridad sobre cada URL ejecutado para asegurar que el requerimiento no use ninguna secuencia ‘./’ o ‘\.’ Una vez que el IIS efectúa la verificación, pasa el URL a través de una rutina de decodificación para transformar cualquier caracter Unicode extendido y luego ser ejecutado Reemplazando los caracteres ‘/’ y ‘\’ por su representación Unicode ‘%2f’ y ‘%5c’, el URL sobrepasa la verificación de seguridad (parsing)

13 Unicode Hack Funcionamiento
A raíz de la publicación del primer parche que incluyo un proceso adicional de parsing después de la transformación, nació una variante en la cual se efectúa una codificación doble de caracteres El caracter '\' es codificado como "%5c“, el correspondiente código de estos tres caracteres es:  '%' = %25 '5' = %35 'c' = %63 Codificando estos tres caracteres nuevamente, se obtiene: %255c %35c %%35%63 %25%35%63 Ejemplo:

14 Unicode Hack Ejemplo

15 Unicode Hack Impacto Permite a usuarios externos obtener altos niveles de acceso a máquinas ejecutando IIS 4.0 o IIS 5.0 a través de URL’s especiales o “malformadas” El atacante puede ganar privilegios que le permiten efectuar acciones como acceder, cambiar o borrar datos; ejecutar comandos o código existente en el servidor y/o cargar nuevos códigos o programas en el servidor y ejecutarlos Utiliza los permisos de la cuenta anónima IUSR_<NOMBREMAQUINA> que utiliza el servidor para los accesos desde Internet

16 Unicode Hack Contramedidas
Deshabilitar los privilegios de la cuenta IUSR_<NOMBREMAQUINA> sobre el cmd.exe, command.com, tftp.exe o attrib.exe Instalar los directorios Web en un drive lógico distinto a donde se encuentra la carpeta Winnt Configurar adecuadamente IIS (no por defecto) habilitando sólo los directorios Web necesarios Asegurar el servidor IIS aplicando los parches de Microsoft para corregir esta vulnerabilidad

17 Agenda Introducción Cross Site Scriting Unicode Hack Ataques CGI
Conclusiones Referencias

18 Ataques CGI Common Gateway Interface (CGI)
CGI es un estándar que permite comunicar programas del lado del cliente con servidores de información, como servidores Web o HTTP Los programas en CGI proporcionan interactividad a las páginas Web en el servidor Formularios, Consultas a Bases de Datos, Permite ejecutar líneas de comandos, Etc. Ampliamente utilizado en el desarrollo de las aplicaciones Web Pueden generar problemas de seguridad

19 Ataques CGI Modelo de Comunicación CGI
Solicitud HTTP Llamada al CGI, datos de entrada pasados para procesar Respuesta del CGI Respuesta del CGI retornada al usuario por el Browser

20 Ataques CGI Vulnerabilidades
Llamada de CGI’s directamente desde la línea de URL en el browser Programas CGI mal diseñados: Entrada de datos del usuario no validadas. Evitar caracteres como: `, $, |, ;, >, *,<, &, [, ', \, ], ", (, ~, ?, ), \n, \r , entre otros. Revelar información de la configuración del sistema y del servidor Permitir acceso parcial o total al servidor Serve-Side Includes, pueden ejecutar cualquier comando: <!--#exec cmd="rm –rf /;cat /etc/passwd" --> <!--#include file="archivo_secreto" --> Llamadas a otros programas a través del uso de funciones que abren shells

21 Ataques CGI Contramedidas
Los programas solamente deben ejecutar aquellas acciones para las que ha sido concebido Suministrar sólo la información necesaria al cliente y evitar revelar información del sistema y del servidor Verificar la configuración del Servidor: Actualizaciones Usuarios y Permisos Ubicación de CGI’s Validar los datos introducidos por el cliente. NUNCA confiar en el usuario

22 Ataques CGI Contramedidas
Evitar o deshabilitar el uso de funciones que abren un shell en la máquina (exec, eval, system, eval, etc) Preferir los lenguajes compilados (Lenguaje C) a los interpretados (Perl, AppleScript, TCL ) Eliminar o mover ejemplos instalados por defecto con el servidor Web Deshabilitar Server Side Include o tener el debido cuidado Prever posibles ataques y tomar medidas que minimicen los daños en el sistema en caso de un ataque exitoso

23 Agenda Introducción Cross Site Scriting Unicode Hack Ataques CGI
Conclusiones Referencias

24 Conclusiones Usar frecuentemente herramientas que permitan evaluar las vulnerabilidades de los servidores Web Aplicar los correctivos necesarios como configuraciones adicionales o parches de seguridad para minimizar las vulnerabilidades de los servidores Deshabilitar todos los servicios, aplicaciones y accesos a directorios no utilizados Analizar frecuentemente los logs para detectar y prevenir ataques Al navegar por Internet se debe ser cuidadoso y verificar la posible ejecución de código malicioso. Se pueden usar firmas digitales para validar código escrito por otros Efectuar constantemente procesos de verificación y monitoreo de las aplicaciones Web

25 Agenda Introducción Cross Site Scripting Ataques Unicode Ataques CGI
Conclusiones Referencias

26 Referencias Microsoft TechNet, “Cross-Site Security Exposure Executive Summary” (Febrero de 2000) CERT Coordination Center, “Frequently Asked Questions About Malicious Web Scripts Redirected by Web Sites” (Febrero de 2000) CERT Coordination Center, “CERT Advisory CA Malicious HTML Tags Embedded in Client Web Requests” (Febrero de 2000) William E. Weinman “El Libro de CGI”. Prentice Hall, 1996, pags Joel Scambray, Stuart McClure, George Kurtz. “Hackers 2”. Osborne Mc-Graw Hill, 2001, pags Antonio Caravantes, “Código Malicioso en los mensajes HTML” (Enero de 2001) SANS Institute, “Unicode Vulnerability – How & Why” (Agosto de 2001) NSFOCUS, “Microsoft IIS CGI Filename Decode Error Vulnerability (SA )”, (Mayo de 2001)

Descargar ppt "Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia"

Presentaciones similares

Presentación – Web Attack

Presentación – Web Attack
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
Internet y tecnologías web

Internet y tecnologías web
Fernando Alonso Blázquez Formularios en lenguaje HTML 26 de Febrero de 2004.

Fernando Alonso Blázquez Formularios en lenguaje HTML 26 de Febrero de 2004.
Servidores Web Capítulo 2.

Servidores Web Capítulo 2.
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Modelando aplicaciones

Modelando aplicaciones
Servidores Windows Http Ftp …

Servidores Windows Http Ftp …
Instalación y configuración de los servicios Web.

Instalación y configuración de los servicios Web.
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
ActiveX.

ActiveX.
Telnet y SSH Integrantes: Carlos Parra José Isabel

Telnet y SSH Integrantes: Carlos Parra José Isabel
Tecnologías de soporte para e-learning UNIVERSIDAD POLITÉCNICA DE MADRID ESCUELA UNIVERSITARIA DE INFORMÁTICA Departamento de Organización y Estructura.

Tecnologías de soporte para e-learning UNIVERSIDAD POLITÉCNICA DE MADRID ESCUELA UNIVERSITARIA DE INFORMÁTICA Departamento de Organización y Estructura.
java del lado del servidor Servlet y JSP Java Server Pages.

"java del lado del servidor" Servlet y JSP Java Server Pages.
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.

INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
Framework Hexápodo PHP fácil, rápido y sin dolor

Framework Hexápodo PHP fácil, rápido y sin dolor
Introducción a los servicios Web

Introducción a los servicios Web
Seguridad y Privacidad

Seguridad y Privacidad
Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.

Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.

Presentaciones similares

Anuncios Google